信息是一家機(jī)構(gòu)的資產(chǎn)�����,與其它資產(chǎn)一樣,應(yīng)受到保護(hù)�����。信息安全的作用是保護(hù)信息不受大范圍威脅所干擾�,使機(jī)構(gòu)業(yè)務(wù)能夠暢順,減少損失及提供最大的投資回報(bào)和商機(jī)���。信息可以有多種存在方式���,可以寫在紙上、儲存在電子文檔里��,也可以用郵遞或電子手段發(fā)送�����,可以在電影上放映或者說話中提到���。無論信息以何種方式表示、共享和存儲�����,都應(yīng)當(dāng)適當(dāng)?shù)乇Wo(hù)起來。
信息及其支持進(jìn)程��、系統(tǒng)和網(wǎng)絡(luò)是機(jī)構(gòu)的重要資產(chǎn)���。信息的保密性�、完整性和可用性對機(jī)構(gòu)保持競爭能力���、現(xiàn)金流�、利潤���、守法及商業(yè)形象至關(guān)重要�����。但機(jī)構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對來自四面八方的威脅�,如計(jì)算機(jī)輔助的詐騙�����、間諜���、破壞����、火災(zāi)及水災(zāi)等。損失的來源如計(jì)算機(jī)病毒����、計(jì)算機(jī)黑客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復(fù)雜�����。 很多信息系統(tǒng)沒有設(shè)計(jì)得很安全�。利用技術(shù)手段獲得的安全是受限制的,因而還應(yīng)該得到相應(yīng)管理和程序的支持����。選擇使用那些安全控制需要事前小心周密計(jì)劃和對細(xì)節(jié)的關(guān)注。信息安全管理至少需要機(jī)構(gòu)全體員工的參與�����,同時(shí)也應(yīng)讓供應(yīng)商��、客戶或股東參與�,如果有必要,可以向外界尋求專家的建議��。對信息安全的控制如果融合到需求分析和系統(tǒng)設(shè)計(jì)階段��,則效果會(huì)更好�,成本也更便宜。
完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系��,完成制定并發(fā)布信息安全管理規(guī)范和建立信息安全管理組織等工作�,保障信息安全措施的落實(shí)以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范�����,詳細(xì)說明各種信息安全策略����。一個(gè)詳細(xì)的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。
企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范��,必須有專門管理人才�,才能有效地實(shí)現(xiàn)企業(yè)安全、可靠��、穩(wěn)定運(yùn)行�����,保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段�����,企業(yè)可以對所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn)���,強(qiáng)化技術(shù)人員對信息安全的重視���,提升使用人員的安全觀念���,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識�����,強(qiáng)調(diào)人的作用���,使他們明確企業(yè)各級組織和人員的安全權(quán)限和責(zé)任�,使他們的行為符合整個(gè)安全策略的要求��。
..
|
